在广泛使用的软件中发现了两个严重漏洞:CrushFTP 和 Next.js。CrushFTP 是一种文件传输解决方案,存在一个漏洞,该漏洞允许通过标准网络端口进行未经授权的访问,绕过安全措施。
此外,流行的 React 框架 Next.js 存在 CVE-2025-29927 漏洞,攻击者可利用该漏洞绕过中间件中的授权检查。
这两个漏洞都构成重大风险,有可能暴露敏感数据并危及应用程序安全。
2025 年 3 月 21 日,CrushFTP 开发者通过电子邮件向客户披露了这一安全漏洞,确认如果存在特定配置,10 版本和 11 版本的安装均存在漏洞。
根据供应商的公告,该特定漏洞不会利用采用 CrushFTP 的 DMZ 功能的系统。
Rapid7 安全分析师表示:“未经授权的端口访问漏洞给依赖 CrushFTP 进行敏感文件传输的组织带来了重大安全风险。该漏洞使攻击者有可能在无需身份验证的情况下获得初始访问权限,这是严重的安全故障。”
像 CrushFTP 这样的文件传输技术被视为勒索软件运营商和试图快速访问并窃取组织敏感数据的威胁行为者的高价值目标。
尤其令人担忧的是,CrushFTP 此前也曾因类似目的成为攻击者的目标。
技术缓解措施
该漏洞已在 CrushFTP 11.3.1 及更高版本中得到修复。安全专家建议立即进行更新,无需等待常规补丁周期。
该修复解决了导致未经授权访问途径的核心 HTTP(S)端口处理机制问题。
安全代码实施应包括:
使用 CrushFTP 的组织应立即采取以下措施:
1.更新到 CrushFTP v11.3.1 或更高版本
2.如果更新延迟,实施适当的 DMZ 功能
3.审查访问日志,查看是否存在潜在的未经授权访问尝试
4.对文件传输基础设施进行安全审计
Rapid7 已在其安全产品中发布了针对这两个漏洞的检测功能。
自 2025 年 3 月 21 日起,在 Linux 上运行 CrushFTP 的 InsightVM 和 Nexpose 客户可以通过漏洞检查评估自己是否面临未经身份验证的 HTTP(S)端口访问问题。
截至 2025 年 3 月 25 日,尚未发现这两个漏洞在实际环境中被利用,但安全专家强调,鉴于这些文件传输系统的关键性质以及类似漏洞在披露后不久就被攻击的历史,快速打补丁至关重要。
发表评论
您还未登录,请先登录。
登录